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Prozessmessgerat mit erweiterter 
Hardwarefehlererkennung 

Die vorliegende Erfindung betrifft ein Prozessmessgerat, insbesondere ein 
Prozessmessgerat mit erweiterter Hardwarefehlererkennung. 

Die Zertifizierung eines Prozessmessgerates nach der Norm 1EC61508; 
(SIL2) erfordert, dass am Gerat eventuell auftretende Hardware-Defekte mit 
hoher Wahrscheinlichkeit erkannt und als Fehlerzustand an einen 
Messwertempfanger signalisiert werden. Der statistische Anteil von Fehlern, 
die zu einer korrekten Signalisierung des Fehlerzustands an den 
Messwertempfanger fuhrt, wird SFF (nach dem englischen Begriff Safe 
Failure Fraction) bezeichnet. 

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein 
Prozessmessgerat mit einer Im Sinne einer hohen 
Erkennungswahrscheinlichkeit im Falle von Hardwarefehlern bereitzustellen. 

Statistische Analysen der Fehlerhaufigkeit haben ergeben, dass 
insbesondere Prozessoren und andere hochintegrierte Halbleiterbauteile, 
beispielsweise Speicher und ASICS, maligeblich zur statistischen 
Gesamtausfallrate eines Prozessmessgerates beitragen. 

Die Aufgabe wird gelost durch ein Prozessmessgerat mit einem ersten 
Prozessor, welcher in ersten Verarbeitungszyklen mit einem ersten 
Algorithmus eine Messwertverarbeitung durchfuhrt; und einen zweiten 
Prozessor, welcher hauptsachlich fur die Koordination und/oder 
Kommunikation zustandig ist, 

wobei ferner der zweite Prozessor in Zeitabstanden, die grolier sind als der 
erste Verarbeitungszyklus einen Kontrolldatensatz aus dem ersten 
Prozessor ausliest, und anhand des Kontrolldatensatzes den ersten 
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Algorithmus ausfuhrt und die korrekte Funktion des ersten Prozessors 
verifiziert 

Der erste Prozessor ist vorzugsweise ein spezialisierter digitaler 
5 Signalprozessor mit sehr schnellen Verarbeitungszyklen. Der zweite 
Prozessor ist beispielsweise ein Microcontroller, der erheblich klangsamer 
arbeitet als der digitale Signalprozessor. 

Der Kontrolldatensatz kann beispielsweise Rohmesswerte eines Sensors 
10 und Zustandsvariablen sowie die von dem ersten Prozessor daraus 
errechneten zugehorigen Ergebniswerte enthalten. Die Verifizierung erfolgt 
beispielsweise durch direkten Vergleich des aus dem ersten Prozessor 
ausgelesenen Ergebnis mit dem Ergebnis aus der Durchfuhrung des ersten 
Algorithmus durch den zweiten Prozessor. 

15 

Der zweite Prozessor umfasst einen Programmspeicher. Zusatzlich kann 
der zweite Prozessor gemafc einer Weiterbildung der Erfindung seinen 
Programmspeicher mittels einer Prufsumme Oder einem CRC (nach 
englischen Begriff Cyclic Redundancy Check) regelmaftig verifizieren. 

20 

i Der zweite Prozessor umfasst weiterhin einen Schreib/Lesespeicher, den 
der zweite Prozessor gemafc einer Weiterbildung der Erfindung mittels 
Testpattern regelmafiig auf statische Fehler uberprufen kann. 

25 Der zweite Prozessor umfasst zudem ein Rechenwerk, einen 
Schreib/Lesespeicher, welchen der zweite Prozessor gemaft einer 
Weiterbildung der Erfindung mittels Prufalgorithmen regelmaftig auf 
statische Fehler uberprufen kann. 



30 In einer Weiterbildung der Erfindung kann der zweite Prozessor die Daten 
im Programmspeicher des ersten Prozessors mit einem lokal gespiegelten 
Speicherbereich vergleichen und verifizieren. 
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Nach einem Aspekt der Erfindung kann der zweite Prozessor bekannte 
Konstanten im Datenspeicher des ersten Prozessors durch Vergleich mit 
lokal gespiegelten Werten verifizieren. 

Nach einem weiteren Aspekt der Erfindung kann, der zweite Prozessor 
Konfigurationsregister des ersten Prozessors durch Vergleich mit lokal 
gespiegelten Werten regelmaftig verifizieren. 

In einer Ausgestaltung der Erfindung umfasst das Prozessmessgerat eine 
4..20 mA Zweitdraht-Schnittstelle. Optional kann eine Watchdog-Schaltung 
die Funktion des zweiten Prozessors und eines zugehorigen Taktgebers 
uberpriifen und im Fehlerfall unabhangig von dem ersten Prozessor und 
dem zweiten Prozessor uber den 4..20 mA Signalstrom einen Fehler 
signalisieren. 

Die Erfindung wird nun an einem in den Figuren dargestellten 
Ausfuhrungsbeispiel erlautert. Es zeigt: 

Fig. 1 : Ein Blockschaltbild der Gerateelektronik 

eines erfindungsgemalien Druckaufnehmers; und 

Fig. 2: Ein Blockschaltbild zur SelbstCiberwachung. 

Die in Fig. 1. dargestellte modulare Gerateelektronik des 
erfindungsgemalien Druckaufnehmers umfasst eine Sensorelektronik 1 und 
eine Hauptelektronik 2. Die Hauptelektronik 2, verarbeitet Sensorsignale, 
welche iiber eine serielle Schnittstelle von einer Sensorelektronik 
empfangen werden. 
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Die Sensorelektronik umfasst im einzelnen ein Sensor-ASIC 12 , dessen 
wesentliche Aufgabe es ist, Druck- sowie Temperatursignale einer 
Druckmesszelle 1 1 bzw. eines Primarsensors entgegenzunehmen und ggf. 
ihre Signalpegel zu normieren. Dazu stehen - je nach Messprinzip des 
Primarsensors - eine Stromquelle fur resistive Sensoren und eine kapazitive 
Schnittstelle fur kapazitive Drucksensoren zur Verfugung, an die jeweils 
absolut/relativ Oder Differenzdruckmesszellen angeschlossen werden 
konnen. Die Normierung erfolgt iiber einstellbare Verstarker, sogenannte 
..Programmable Gain Amplifieres" (PGA), in den Ausfiihrungen als Differenz 
und Absolutverstarker. Danach werden die normierten Werte analog/digital 
(A/D) gewandelt und iiber eine serielle Schnittstelle an die Hauptelektronik 2 
weitergegeben. Sensorspezifische Daten wie Kompensationskoeffizienten u. 
a. auf einem Sensor-EEPROM 13 abgelegt. 

Das ASIC 12 ist in der Lage, Uberlaufe in den internen Verstarkern und A/D- 
Wandlern zu erkennen und diese ebenfalls iiber die serielle Schnittstelle in 
Form eines Fehlertelegramms an die Hauptelektronik 2 zu melden. 

Die Hauptelektronik 2 umfasst im wesentlichen folgende Komponenten: 

Einen Druckprozessor 21 (ASIC mit integriertem Digitalen Signal Prozessor 
(DSP)), der u. a. als serielles Interface zur Sensorelektronik 1 wirkt, deren 
Rohdaten empfangt, und daraus den Ausgangswert berechnet. Je nach 
Betriebsart kann der Ausgangswert entweder Druck, Fiillstand oder 
Durchfluss reprasentieren. Das Rechenergebnis wird beispielsweise als 
pulsweitenmoduliertes Signal (PWM) bereitgestellt. Eine weitere 
Funktionalitat des Prozessors 21 ist die Generierung des Taktsignals fur die 
komplette Messumformerelektronik. 

Die Hauptelektronik umfasst weiterhin einen Kommunikations-ASIC 22; 
dieser Baustein dient als Schnittstelle des Messumformers zur AuBenwelt. 
In ihm integriert ist ein DC/DC-Wandler zur Stromversorgung des gesamten 
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Gerates und ein Stromsteller, der aus dem PWM-Signal des 
Druckprozessors den entsprechenden Stromwert auf eine 4-20 m A 
Stromschleife einpragt. Weiterhin sind in ihm ein HART-Modem fur die 
Kommunikation auf Feldebene, eine hochgenaue Spannungsreferenz sowie 
ein Hardware-Watchdog integriert. 

Weiterhin umfasst die Hauptelektronik einen Microcontroller 25, welcher fur 
die Initialisierung des Messprozessors benotigtwird. Im Regelbetrieb wird 
uber ihn 

die Vor-Ort-Bedienung mittels Taster bzw. Fernbedienung uber HART 
realisiert. Zu diesem Zweck kann auch noch ein Display 23 vorgesehen sein. 

Weitere Funktionen des Microcontrollers 25 konnen beispielsweise 
Fehlerverarbeitung, Umrechnung der Messdaten in vom Benutzer 
eingestellte Einheiten, Triggern eines Watchdogs im Kommunikations-ASIC, 
Protokollieren von Min/Max-Werten und der Messbereichsuberschreitung, 
Summenzahlerfurden Modus ..Durchfluss", und Nichtfluchtige Datenhaltung 
sein. 

Beim Druckprozessor 21 handelt es sich um ein ASIC mit einem integrierten 
digitalen Signalprozessor. Seine Starke liegt in der schnellen und auUerst 
energiesparenden Berechnung der Messwerte. Unter Vollast betragt die 
Stromaufnahme des Druckprozessors ca. 600 gA. 

Der Microcontroller 25 1st zwar prinzipiell auch in der Lage, diese 
Berechnungen durchzufiihren, allerdings wiirde er bei gleicher 
Berechnungsgeschwindigkeit ein Vielfaches an Energie verbrauchen; zu viel 
fur ein Gerat, das seine Versorgung aus einer 4-20mA Stromschleife 
bezieht. Eingesetzt wird der Microcontroller in den Bereichen, wo es nicht 
auf zeitkritische Berechnungen ankommt. Dadurch ist es moglich, den 
Baustein mit einem stark reduzierten Takt zu betreiben, um den 
Stromverbrauch auf ein vertragliches Mali zu senken. 
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Bei der Gerateinitialisierung ist folgende Besonderheit zu beachten. Da es 
mehrere verschiedene Sensorbaugruppen und Hauptelektronikvarianten gibt, 
ware es ein zu grolier Aufwand, fur jede mogliche Kombination von Sensor 
und Elektronik eine passende Softwarelosung bereitzustellen. Dies wird 
dadurch umgangen, dass man die Software in zwei Teile auftrennt, namlich 
in einen sensor- und einen applikationsspezifischen Teil. 

Der sensorspezifische Teil ist auf der Sensorelektronik in einem Sensor- 
EEPROM 13 gespeichert. Erhalt die Sensorik die ersten Taktsignale von der 
Hauptelektronik, so liest sie ihren Programmteil aus dem EEPROM aus und 
schickt ihn uber die serielle Verbindung an die Hauptelektronik. Dort wird 
das Sensorprogramm vom Microcontroller 25 aus dem DSP 21 ausgelesen 
und mit dem applikationsspezifi-schen Programm verbunden, das er aus 
dem Programmspeicher der Hauptelektronik erhalt. Die beiden 
Programmteile werden dann miteinander verbunden, d.h. die Offsets der 
Adressen im Speicher werden so verandert, dass verschiedene Variablen 
nicht die gleichen Speicherbereiche verwenden. Nach Abschluss dieses 
Vorgangs wird das nun komplettierte Programm zuruck in den DSP 
geschrieben. Danach werden lediglich noch die Konfigurationsparameter der 
Messumformung in den Datenspeicher des DSP geladen, der 
Messumformer ist nun einsatzbereit und berechnet aus den daraufhin 
eintreffenden Rohdaten die Messwerte. 

Die erfindungsgemaften Druckaufnehmer erfiillen vorzugsweise die 
Anforderungen an Funktionale Sicherheit bis SIL 2 nach IEC 61508. Die 
Norm stellt quantitative Anforderungen hinsichtlich der Einhaltung von 
Mindestwerten fur sicherheitstechnische KenngroUen wie Safe Failure 
Fraction (SFF) an die Gerate. Zur Erfiillung der quantitativen Anforderungen 
(z.B. SFF > 90%) sind in der Regel zusatzliche Diagnosemafcnahmen und 
Uberwachungsfunktionen im Gerat erforderlich. Uber eine FMEDA (Failure 
Mode, Effects and Diagnostics Analysis) der Elektronik auf 
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Komponentenebene mit nachfolgender Optimierung wurde die 
Selbstiiberwachung, deren Konzept im folgenden beschrieben ist, als 
Beitrag zur Erfullung der SIL2 Norm identifiziert. 

Die Selbstiiberwachung besteht aus einem Softwarepaket, mit dem unter 
anderem CRCs (Cyclic Redundancy Check) und Prufsummen von RAM und 
ROM des Microcontrollers sowie des EEPROM realisiert werden. 

Die Selbstiiberwachung umfasst weiterhin eine stichprobenartigen Kontrolle 
der Funktion des DSP durch eine Kontrollrechnung im Microcontroller. Dazu 
miissen, wie in Fig. 2 gezeigt, die Eingangswerte und Zustandsvariablen 
sowie der Ausgangswert aus dem DSP 21 ausgelesen werden. Aus den 
Eingangswerten und den Zustandsvariablen wird der Ausgangswert 
berechnet, den der DSP ausgeben miisste. Danach wird der gemessene mit 
dem berechneten Ausgangswert verglichen. Kommt es dabei zu Differenzen, 
so wird dies an ubergeordnete Kontrollinstanzen in der Software des 
Messumformers gemeldet, die ihrerseits veranlassen, dass der 
Kommunikations-ASIC 22 ein Fehlersignal (HART) ausgibt. Anhand dieses 
Signals erkennt das Auswertegerat, an dem der Messumformer 
angeschlossen ist, den Geratefehler und leitet die notwendigen Malinahmen 
ein, wie eine Meldung zum Austausch des defekten Gerates. 

Der DSP 21 auf der Hauptelektronik fuhrt sehr schnelle Berechnungen 
durch. Urn nun diesen Baustein iiberwachen zu konnen, wird eine 
Baugruppe benotigt, die zumindest ebenso schnell die Berechnungen 
durchfiihren oder zumindest die Daten des DSP kann. Es wurde im 
vorliegenden Ausfuhrungsbeispiel die Selbstiiberwachung durch den 
Microcontrollers 25 gewahlt. Diese Losung beinhaltet die Kontrollrechnung 
seitens des Microcontrollers 25. Sie kommt ohne zusatzliche Hardware aus 
und sorgt dabei noch mit diversitarer Hardware fur eine erweiterte Sicherheit. 
Die geringere Geschwindigkeit des Microcontrollers 25 verhindert es aber, 
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die Berechnungen des DSP in Echtzeit durchzufuhren. Dies ist zu 
berucksichtigen. 

Der Microcontroller 25 fuhrt daher nur Stichproben durch. Der einzig 
zeitkritische Vorgang ist dabei das Einlesen der Zustandsvariablen 
(zwischengespeicherte Werte des letzten MeRzyklus) und der Druck- und 
Temperaturrohdaten der Sensorelektronik sowie des berechneten 
Ausgangswertes des DSP 21. Die nachfolgende Berechnung des 
Ausgangswertes im pC ist praktisch zeitunabhangig, sie kann beliebig oft 
durch andere Programmteile unterbrochen werden. 

Die Selbstuberwachung besteht in der Hauptsache aus drei Programmteilen: 
Einer Hauptroutine, der Erfassung der Messwerte, und einer eigenstandigen 
Berechnung mit anschlieftendem Vergleich. Die komplette 
Selbstuberwachung ist in Form von Zustandsmaschinen realisiert, wobei fur 
die Erfassung und die Berechnung absichtlich zwei getrennte Prozesse 
eingesetzt werden. Dies ermoglicht eine unterschiedliche Priorisierung der 
beiden Vorgange auf Interruptebene. Die Messwerterfassung bedarf einer 
hohen Prioritat, urn einen kompletten, gultigen Datensatz in der gegebenen 
Zeit einlesen zu konnen. Liefe dieser Prozess auf einer niedrigeren Ebene, 
wurde die Selbstuberwachung nicht funktionieren, da es aufgrund von 
Unterbrechungen nie zu einem kompletten Datensatz kame. Im Gegensatz 
dazu braucht die Berechnung keine hohe Prioritat, da sie keinem Zeitzwang 
unterliegt. 

Im sensor- und applikationsspezifischen Programm gibt es jeweils Variablen, 
die den Wert der vorherigen Messung enthalten (Dampfungswerte, 
Rauschfilter). Dabei ist zu beachten, dass sich diese Werte sehr schnell 
andern, da ein kompletter Programmdurchlauf im DSP weniger als 10 ms 
dauert. Fur die Kontrollrechnung sind die Zahlenwerte zum relevanten 
Zeitpunkt erforderlich, da sonst ein bitgenauer Vergleich nicht moglich ist. 
Dies wird durch schnelles Einlesen der betroffenen Variablen unter 
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Verwendung von Jnline-Code" erreicht, also mit optimiertem Code auf 
Assembler-Ebene, der auf das Aufrufen von Registern und langwierige 
Stackoperationen verzichtet. 

5 Jedes neue Datenpaket, das den DSP erreicht, lost einen Interrupt aus, der 
sich auch fur die Synchronisation der Selbstuberwachung einsetzen lasst. In 
der Interrupt-Routine wird bei jedem Aufruf automatisch ein Zahler 
(Framecounter) inkrementiert. Als zusatzliche Funktionalitat ist das Einlesen 
der Statusvariablen bei einem bestimmten Stand des Framecounters 
10 integriert. 

Die Messwerterfassung beinhaltet das Einlesen der Druck- und 
Temperaturwerte des Sensor-ASIC, die zwischengespeicherten Ergebnisse 
der vorangegangenen Berechnung sowie den berechneten Ausgangswert 
15 des DSP. Nach dem Einlesen der Werte ist zu uberprufen, ob die 
eingelesenen Werte, tatsachlich den gleichen Messzeitpunkt reprasentieren. 

Anschliefcend wird das DSP-Programm vom Microcontroller 25 ausgefuhrt, 
um die Kontrollrechnung anhand der eingelesenen Daten durchzufuren. 
20 Nach dem Ende der Kontrollrechnung findet ein Vergleich von Rechen- und 
i Messwert statt. Stellt der Microcontroller eine zu grofte Differenz zwischen 
Rechen- und Messwert fest, wird das Kommunikations-ASIC angewiesen, 
einen Fehlerstrom auszugeben und bei Bedarf noch eine Fehlermeldung 
uber HART auszugeben. 
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Patentanspriiche 

Prozessmessgerat mit einem ersten Prozessor 21 , welcher in ersten 
Verarbeitungszyklen mit einem ersten Algorithmus eine 
Messwertverarbeitung durchftihrt; und einen zweiten Prozessor 25, 
welcher Koordinations und/oder Kommunikationsaufgaben wahrnimmt, 
wobei ferner der zweite Prozessor 25 in Zeitabstanden, die grofcer sind 
als der erste Verarbeitungszyklus einen Kontroildatensatz aus dem 
ersten Prozessor 21 ausliest, und anhand des Kontrolldatensatzes den 
ersten Algorithmus ausfuhrt urn die korrekte Funktion des ersten 
Prozessors zu verifizieren. 

Prozessmessgerat nach Anspruch 1, wobei der Kontroildatensatz 
Rohmesswerte eines Sensors und Zustandsvariablen sowie die von 
dem ersten Prozessor daraus errechneten zugehorigen Ergebniswerte 
enthalt. 

Prozessmessgerat nach Anspruch 1 oder 2, wobei die Verifizierung 
durch direkten Vergleich des aus dem ersten Prozessor 21 
ausgelesenen Ergebnis mit dem Ergebnis aus der Durchfuhrung des 
ersten Algorithmus durch den zweiten Prozessor 25 erfolgt 

Prozessmessgerat nach einem der Anspruche 1 bis 3, wobei der 
zweite Prozessor einen Programmspeicher umfasst und den 
Programmspeicher mittels einer Prufsumme oder einem CRC 
regelmaftig verifiziert. 

Prozessmessgerat nach einem der Anspruche 1 bis 4, wobei der 
zweite Prozessor weiterhin einen Schreib/Lesespeicher, den der zweite 
Prozessor mittels Testpattern regelmaliig auf statische Fehler 
uberpriifen kann. 
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6. Prozessmessgerat nach einem der Anspruche 1 bis 5, wobei der 
zweite Prozessor einen Schreib/Lesespeicher, welchen der zweite 
Prozessor mittels Prufalgorithmen regelmaliig auf statische Fehler 
uberprufen kann. 

7. Prozessmessgerat nach einem der Anspruche 1 bis 6, wobei der 
zweite Prozessor die Daten im Programmspeicher des ersten 
Prozessors mit einem lokal gespiegelten Speicherbereich vergleicht 
und verifiziert. 

8. Prozessmessgerat nach einem der Anspruche 1 bis 7, wobei der 
zweite Prozessor bekannte Konstanten im Datenspeicher des ersten 
Prozessors durch Vergleich mit lokal gespiegelten Werten verifiziert. 

9. Prozessmessgerat nach einem der Anspruche 1 bis 8, wobei der 
zweite Prozessor Konfigurationsregister des ersten Prozessors durch 
Vergleich mit lokal gespiegelten Werten regelmafcig verifiziert. 

10. Prozessmessgerat nach einem der Anspruche 1 bis 9, wobei das 
Prozessmessgerat eine 4.. 20 mA Zweitdraht-Schnittstelle umfasst, und 
wobei eine Watchdog-Schaltung die Funktion des zweiten Prozessors 
und eines zugehorigen Taktgebers uberpruft und im Fehlerfall 
unabhangig von dem ersten Prozessor 21 und dem zweiten Prozessor 
25 uber den 4..20 mA Signalstrom einen Fehler signalisiert. 
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Zusammenfassung 

Ein Prozessmessgerat mit einem ersten Prozessor 21, welcher in ersten 
Verarbeitungszyklen mit einem ersten Algorithmus eine 

5 Messwertverarbeitung durchfiihrt; und einen zweiten Prozessor 25, welcher 
Koordinations und/oder Kommunikationsaufgaben wahmimmt. Der zweite 
Prozessor 25 liest in Zeitabstanden, die grofier sind als der erste 
Verarbeitungszyklus einen Kontrolldatensatz aus dem ersten Prozessor 21 , 
und fuhrt anhand des Kontrolidatensatzes den ersten Algorithmus aus urn 

10 die korrekte Funktion des ersten Prozessors zu verifizieren. 



(Fig. 2) 
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